网络安全日报 2023年12月18日

1、伊朗OilRig组织部署3个新的恶意软件下载程序

https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders/

伊朗国家资助的威胁组织OilRig在 2022 年部署了三种不同的下载器恶意软件，以维持对位于以色列的受害者组织的持续访问。斯洛伐克网络安全公司 ESET 将这三个新下载程序命名为 ODAgent、OilCheck 和 OilBooster。这些攻击还涉及使用名为 SampleCheck5000（或 SC5k）的已知 OilRig 下载程序的更新版本。通过使用知名云服务提供商进行命令和控制通信，目标是与真实的网络流量混合并掩盖该组织的攻击基础设施。

2、谷歌使用Clang Sanitizers保护安卓用户免受蜂窝基带漏洞的影响

https://security.googleblog.com/2023/12/hardening-cellular-basebands-in-android.html

谷歌强调Clang Sanitizers在强化移动基带安全性方面发挥的作用安卓操作系统，并防止特定类型的漏洞。这包括 Integer Overflow Sanitizer (IntSan) 和 BoundsSanitizer (BoundSan)，两者都是 UndefinedBehaviorSanitizer (UBSan) 工具的一部分旨在捕获程序执行期间的各种未定义行为。它们与架构无关，适合裸机部署，并且应该在现有的 C/C++ 代码库中启用以减轻未知漏洞。

3、美国核研究实验室证实数据泄露影响超过四万条个人信息

https://apps.web.maine.gov/online/aeviewer/ME/40/ff925db5-9987-4a47-a5bc-a89c94f794f5.shtml

爱达荷国家实验室 (INL) 证实，攻击者上个月突破其基于云的 Oracle HCM HR 管理平台后，窃取了超过 45000 人的个人信息。INL 是美国能源部 (DOE) 17 个国家实验室之一，拥有 6,100 名研究人员和支持人员，从事国家安全和核研究。11 月 20 日，确认发生“网络安全数据泄露”事件。一天前，该事件影响了其异地 Oracle HCM 系统。作为正在进行的联合调查的一部分，CISA 和 FBI 正在调查其影响。研究实验室在本周向缅因州总检察长办公室提交的泄露通知信中表示，攻击者窃取了数据45,047 名现任和前任员工（包括博士后、研究生和实习生）及其家属和配偶。此次违规行为并不影响 2023 年 6 月 1 日之后雇用的员工。尽管 INL 并未将此次攻击归咎于特定组织，但 SiegedSec 黑客活动分子声称于 11 月 20 日发起了此次攻击，并在一个黑客论坛上泄露了被盗的人力资源数据。

4、新型NKAbuse恶意软件滥用NKN区块链进行隐秘通信

https://securelist.com/unveiling-nkabuse/111512/

一种新的基于 Go 的多平台恶意软件被识别为“NKAbuse”是第一个滥用 NKN（新型网络）技术进行数据交换的恶意软件，使其成为一种隐形威胁。NKN 是一种相对较新的去中心化点对点网络协议，利用区块链技术来管理资源并维护安全透明的网络运营模型。NKN 的目标之一是优化整个网络的数据传输速度和延迟，这可以通过计算有效的数据包传输路径来实现。个人可以通过运行节点来参与NKN网络，类似于Tor网络，目前大约有60710个节点。

5、研究人员披露针对985个银行应用的10个新型安卓银行木马

https://www.zimperium.com/resources/zimperiums-2023-mobile-banking-heists-report-finds-29-malware-families-targeted-1800-banking-apps-across-61-countries-in-the-last-year/

今年出现了 10 个新的 Android 银行恶意软件家族，这些恶意软件家族共同针对来自 61 个国家/地区的金融机构的 985 个银行和金融科技/交易应用程序。银行木马是一种恶意软件，通过窃取凭证和会话 cookie、绕过 2FA 保护、有时甚至自动执行交易来针对人们的在线银行帐户和资金。除了 2023 年推出的 10 个新木马之外，2022 年起的 19 个木马系列也进行了修改，以添加新功能并提高其操作复杂性。大多数受检查的木马的标准功能包括键盘记录、覆盖网络钓鱼页面和窃取短信。另一个令人担忧的发展是，银行木马不再仅仅窃取银行凭证和资金，现在还瞄准社交媒体、消息和个人数据。

6、Discord为所有用户添加了安全密钥支持以增强安全性

https://www.bleepingcomputer.com/news/security/discord-adds-security-key-support-for-all-users-to-enhance-security/

Discord 已为平台上的所有帐户提供安全密钥多重身份验证 (MFA)，为其 5 亿多注册用户带来显着的安全和反网络钓鱼优势。这家热门社交平台于 2023 年 8 月首次强调了使用 WebAuthn 安全密钥的好处，当时它为其员工推出了额外的帐户保护。Discord 现已为所有 Discord 用户带来了 WebAuthn 功能，允许用户替换依赖基于时间的一次性密码、8 位一次性备份代码和携带 6 位验证码的 SMS 消息的旧版 MFA 系统。这项新功能增强了防止凭据被盗的保护，因为它需要物理设备（无论是计算机还是手机）才能登录您的 Discord 帐户。

7、研究人员披露QR网络钓鱼可导致Microsoft 365帐户被盗

https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise

事件响应人员调查了源自包含 PDF 附件的网络钓鱼电子邮件的网络入侵。该 PDF 包含一个 QR 码，可将收件人引导至星际文件系统 (IPFS) 网关上托管的恶意内容。使用此网关可以让威胁行为者节省与托管自己的基础设施相关的成本和精力，并使执法部门难以取缔恶意内容。使用移动设备扫描二维码会将受害者引导至特定 URL，该 URL 会窃取会话令牌并重定向到 ipfs 。 io 网关托管恶意登录页面以获取 Microsoft 帐户凭据。

8、研究人员披露UNC2975恶意广告部署后门活动

https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors

研究人员发现了一场 UNC2975 恶意广告活动，该活动宣传以无人认领资金为主题的恶意网站。该活动至少可以追溯到 2023 年 6 月 19 日，滥用搜索引擎流量并利用恶意广告影响多个组织，导致 DANABOT 和 DARKGATE 后门的传播。在这次 UNC2975 活动中，恶意网站传播了 PAPERDROP 和 PAPERTEAR 下载器恶意软件，最终导致 DANABOT 和 DARKGATE 后门恶意软件。

9、攻击者利用公开的漏洞利用代码针对Apache Struts漏洞发起攻击

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/

黑客正试图利用 Apache Struts 中最近修复的一个严重漏洞 (CVE-2023-50164)，该漏洞会导致远程代码执行，从而进行依赖公开可用的概念验证漏洞利用代码的攻击。攻击者似乎才刚刚开始，该平台的研究人员观察到少数 IP 地址正在进行利用尝试。Apache Struts 是一个开源 Web 应用程序框架，旨在简化 Java EE Web 应用程序的开发，提供基于表单的界面和广泛的集成功能。RCE 漏洞影响 Struts 版本 2.0.0 至 2.3.37（生命周期结束）、Struts 2.5.0 至 2.5.32 以及 Struts 6.0.0 至 6.3.0。

10、卡夫亨氏回应黑客攻击事件称其系统正常运行

https://www.bleepingcomputer.com/news/security/kraft-heinz-investigates-hack-claims-says-systems-operating-normally/

卡夫亨氏已确认他们的系统运行正常，并且没有证据表明他们在勒索组织将其列在数据泄露网站上后遭到破坏。卡夫亨氏是全球最大的食品和饮料公司之一，在 40 个国家/地区拥有超过 37000 名员工。该公司拥有众多知名品牌，包括 Oscar Mayer、Kool-Aid、Philadelphia、Lunchables、Maxwell House 等。在 Snatch 勒索组织数据泄露网站上发布的日期为 8 月 16 日的帖子中，威胁行为者声称他们入侵了卡夫亨氏（Kraft Heinz）。当勒索组织在其数据泄露网站上列出一家公司时，这表明他们在网络攻击中窃取了数据，如果不支付赎金，这些数据很快就会泄露。然而，Snatch 尚未提供违规证据，文件部分没有被盗数据的屏幕截图。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全该如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！
##### 4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！
如果你对网络安全入门感兴趣，

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！